На практике инспекторы могут оштрафовать за нарушения по защите персональных данных по совершенно абсурдным основаниям.
Регистрироваться ли в реестре?
В связи с внесением изменений в КоАП с 1 июля 2017 года и ужесточением ответственности за нарушения законодательства в области персональных данных, для работодателя все более актуальным становится вопрос о том, как правильно работать с персональными данными.
Если проверки Государственной инспекции труда проходили многие работодатели, то о проверках Роскомнадзора знают пока не все. Так как же подготовиться и пройти такую проверку без штрафов? Для начала нужно разобраться: необходимо ли компании регистрироваться в реестре Роскомнадзора?
В соответствии с законодательством оператором персональных данных признается, в том числе, юридическое лицо осуществляющее обработку персональных данных. Согласно закону «О персональных данных» оператор до начала обработки персональных данных обязан уведомить Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Одним из исключений является обработка персональных в соответствии с трудовым законодательством.
Но это исключение не распространяется на персональные данные уволенных сотрудников, на членов семей сотрудников и их детей. То есть на практике получается так, что уведомление подавать в любом случае нужно. Хотя штраф за неподачу данных всего пять тысяч рублей.
На что смотрит инспектор?
Каковы же основные зоны риска в компании при работе с персональными данными? Это прежде всего, кадровое делопроизводство, хранение личных дел сотрудников, ведение зарплатного проекта и оформление командировок, заказ визитных карточек в компании, оформление прохождения медицинских осмотров сотрудников, которым в соответствии с ТК РФ необходимо проходить такие осмотры, а также порядок осуществления пропускного режима на территорию служебных помещений работодателя.
В отделе персонала проверяющих заинтересует наличие договоров с работными сайтами, приказ о назначении ответственного за обработку персональных данных в компании, а также локально-нормативные акты, регулирующие в компании работу с персональными данными.
Особое внимание инспекторы Роскомнадзора обратят на содержание письменного согласия на обработку персональных данных. Оно должно быть оформлено в соответствии со ст. 9 п. 4 закона «О персональных данных».
Проблемы из-за соискателей.
«Конек» проверяющих — проверка содержания анкеты соискателя на наличие избыточных персональных данных.
В соответствии с законодательством информация в анкете о родственниках соискателя должна соответствовать объему, предусмотренном пунктом 10 унифицированной формы N Т-2, утвержденной постановлением Госкомстата Российской Федерации.
То есть работодателю о родственниках соискателя (работника) положено знать только степень их родства, фамилию, имя, отчество и год рождения ближайших родственников. Любая другая информация, как например, число и месяц рождения или место работы родственника, будет признана избыточной и за это компанию оштрафуют.
Теоретически здесь требования Роскомнадзора вступают в противоречие со ст.228 ТК РФ, ведь Трудовой кодекс обязывает работодателя при наступлении тяжелого несчастного случая или несчастного случая со смертельным исходом информировать родственников пострадавшего.
А как это сделать, если нет никакой другой информации в анкете — не понятно. Проверяющие эту ситуацию никак не комментируют. Про хранение личных дел сотрудников все ясно — они должны находиться в закрытых стеллажах под замком.
Резюме.
А вот как правильно с точки зрения Роскомнадзора работать с резюме кандидатов? Во-первых, обработка персональных данных соискателей предполагает получение согласия самих соискателей на обработку их персональных данных.
Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.
Согласно требованиям Роскомнадзора при получении резюме кандидата по электронной почте — необходима обратная связь с ним для подтверждения факта отправки указанного резюме самим кандидатом.
К таким мероприятиям можно отнести приглашение соискателя на личную встречу с сотрудниками работодателя, обратную связь посредством электронной почты и т.п. При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, направившее его, не представляется возможным, данное резюме подлежит уничтожению в день поступления с составлением акта об уничтожении.
То же необходимо сделать и в случае отказа кандидату в приеме на работу — резюме должно быть уничтожено в течение 30 дней. Поэтому резюме проще вообще не распечатывать.
При направлении работодателем запросов по прежним местам работы, для уточнения или получения дополнительной информации о соискателе получение его согласия также является обязательным условием.
Кадровый резерв.
В случае ведения кадрового резерва в компании обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться также только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения.
Поэтому соискатель обязательно должен быть ознакомлен с условиями ведения кадрового резерва: со сроками хранения его персональных данных и порядком исключения из кадрового резерва. Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя на сайте Компании.
Сайт компании.
Сайт Компании также представляет интерес для сотрудников Роскомнадзора.
В случае использования окна обратной связи с клиентами или кандидатами, политика или положение об обработке персональных данных должны быть размещены на сайте, а согласие на обработку персональных данных обязательно должно подтверждаться соискателем или клиентом, путем проставления отметки — «галочки» в соответствующем поле.
Передача данных третьим лицам.
В ходе проверки проверяющие обязательно поинтересуются, ездят ли сотрудники в командировки, проходят ли медосмотры и заказываются ли им визитные карточки.
Если да, то еще одним подводным камнем для работодателя является сохранение конфиденциальности при передаче персональных данных третьим лицам и согласие самих сотрудников на такую передачу для изготовления, например, визитных карточек или заказа авиа- и железнодорожных билетов через агентства, направления на обязательный медицинский осмотр.
Для этого должны быть заключены договоры о конфиденциальности с соответствующими подрядчиками.
В таких договорах проверяющих интересует перечень действий, совершаемых с персональными данными, цели обработки и обеспечение безопасности данных.
Визитка — как повод для штрафа.
По итогам проверки будет составлен акт и в случае выявленных нарушений вынесено предписание об устранении нарушений.
Что касается штрафов, конкретные их размеры указаны в статье 13.11 КоАП. Размеры штрафов от 15 до 70 тысяч рублей в зависимости от вида нарушения. Чтобы минимизировать риски, работодателю перед проверкой необходимо провести инструктаж ответственных лиц, какие пояснения давать инспектору.
Как показывает практика, к проверке Роскомнадзора подготовится сложнее, чем к проверке ГИТ, потому что требования Роскомнадзора не столь широко известны работодателям, как требования трудового законодательства.
К тому же бывает, что решения инспекторов, на первый взгляд, кажутся парадоксальными.
Есть прецеденты, когда компанию штрафовали, например, за то, что у бухгалтера по зарплате в согласии на обработку персональных данных, отсутствует согласие на передачу персональных данных компаниям, у которых заказываются визитки, авиабилеты, и где проходят медосмотры сотрудники, которым положено их проходить в соответствии с законодательством.
Объяснения представителей компании о том, что бухгалтер по зарплате не ездит в командировки, ему не положены визитные карточки и он не обязан проходить медосмотры — успеха не имели. В таких случаях нужно пытаться отстоять свою позицию в суде, хотя судебной практики по нарушениям в области персональных данных еще очень мало.
Поэтому любое судебное решение, вынесенное в пользу компании, будет значительной вехой в спорах подобного рода.
Автор – Чигадаев Дмитрий